安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏洞的 CVSSv3 评分为 9.9,代表了近乎完美的严重性评级,对全球 Zabbix 部署具有严重影响。
该漏洞位于 Zabbix 前端,具体位于 CUser 类的 addRelatedObjects 函数中,该函数由 CUser.get 方法调用。根据该项目的描述,该漏洞允许具有默认用户角色或允许 API 访问的任何角色的非管理员用户帐户利用该漏洞。Ramos详细说明,“该漏洞位于 user.get 方法中,具体位于 selectRole 中,该方法链接数组而不验证输入数据。”
Zabbix 版本 7.0.0 补丁差异 | 图片:Alejandro Ramos
一旦被利用,这种 SQL 注入可以让攻击者提升权限,潜在地危及监控系统并获取敏感企业数据的访问权。
该漏洞最初由 Márk Rákóczi 发现,并通过 HackerOne 漏洞赏金平台报告。Zabbix解释道:“CUser 类的 addRelatedObjects 函数中存在一个 SQLi,该函数由 CUser.get 函数调用,每个拥有 API 访问权限的用户都可以使用该函数。”
Zabbix 已意识到该问题的严重性,并敦促用户立即更新其安装。受影响的版本包括 6.0.0 至 6.0.31、6.4.0 至 6.4.16 和 7.0.0。用户应升级到最新的修补版本:6.0.32rc1、6.4.17rc1 或 7.0.1rc1,以降低风险。
Zabbix 的全球客户群包括各大洲的数千家组织。如果此漏洞被利用,使用 Zabbix 进行关键监控操作的企业可能会面临严重中断。从数据泄露到权限提升,攻击者可以利用此漏洞获得对 Zabbix 环境的未经授权的控制。
Ramos在 GitHub 上发布了针对 CVE-2024-42327 的 PoC 漏洞利用,大大增加了漏洞利用的风险。该 SQL 注入漏洞可由可访问 API 的帐户触发,因此组织必须限制不必要的 API 权限并立即升级其 Zabbix 安装。
poc:
https://github.com/aramosf/cve-2024-42327
详细技术分析:
https://www.linkedin.com/pulse/el-%C3%B3xido-y-la-vulnerabilidad-cr%C3%ADtica-en-zabbix-alejandro-ramos-dsvpf/
原文始发于微信公众号(独眼情报):Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论